JDBC中使用preparedStatement防止SQL注入

一、SQL注入

SQL注入是一种比较常见的网路攻击方式,一些恶意人员在需要用户输入的地方,恶意输入SQL语句的片段,通过SQL语句,实现无账号登录,甚至篡改数据库。

二、SQL注入实例

登录场景:
在一个登录界面,要求用户输入账号和密码。

我们的代码中会有如下SQL语句:

String sql="select * from user where account='"+account+"' and password='"+password+"'";

情形1:(免账号登录)

账号:' or 1=1----后面有一个空格)
密码:
当我们输入了这个账号和密码,那么SQL语句就变成:String sql="select * from user where account='' or 1=1 -- ' and password=''";

在这里插入图片描述
这个查询条件就变成account=‘’ 或者1=1,这个条件是恒成立的。
后面的-- ,就是注释。
这样就可以实现免账号登录。

情形2:(删除数据库)

账号:';drop database test;----后面有一个空格)
密码:
当我们输入了这个账号和密码,那么SQL语句就变成:String sql="select * from user where account='';drop database test;-- ' and password=''";

在这里插入图片描述
这个查询条件就变成account=‘’ 或者1=1,这个条件是恒成立的。
后面的-- ,就是注释。
这样就能删除数据库。

三、防止SQL注入方法

使用PreparedStatement可以防止SQL注入。sql语句中的参数需要用?代替。PreparedStatement对sql预编译后,然后调用setXX()方法设置sql语句中的参数。这样再传入特殊值,也不会出现sql注入的问题了。

四、登录项目

1、用户表

用户的账号信息:

create table user(
id int primary key auto_increment,
account varchar(20),
password varchar(20),
nickname varchar(20)
);insert into user(account,password,nickname) values('Jack','123456','杰克');
insert into user(account,password,nickname) values('Mary','888888','玛丽');select*from user;

在这里插入图片描述
2、项目结构

创建一个javaweb项目。Login类实现登录功能,用Junit进行单元测试,创建LoginTest类实现登录测试功能。
在这里插入图片描述
3、登录实现

Login.java

package net.jdbc.test;import java.math.BigDecimal;
import java.sql.*;public class Login {//数据库url、用户名和密码static final String DB_URL="jdbc:mysql://localhost:3306/test?";static final String USER="root";static final String PASS="root123";public static void login(String account,String password) {try {//1、注册JDBC驱动Class.forName("com.mysql.jdbc.Driver");//2、获取数据库连接Connection connection = DriverManager.getConnection(DB_URL, USER, PASS);//3、操作数据库String sql="select * from user where account=? and password=?";//获取操作数据库的对象//用PreparedStatement可以预防SQL注入PreparedStatement preparedStatement = connection.prepareStatement(sql);preparedStatement.setString(1,account);//设置参数preparedStatement.setString(2,password);ResultSet resultSet = preparedStatement.executeQuery();//执行查询sql,获取结果集if (resultSet.next()){ //遍历结果集,取出数据String name = resultSet.getString("nickname");//输出数据System.out.println(name+"登录成功");}else{System.out.println("用户登录失败......");}//4、关闭结果集、数据库操作对象、数据库连接resultSet.close();preparedStatement.close();connection.close();} catch (ClassNotFoundException e) {e.printStackTrace();} catch(SQLException e){e.printStackTrace();} catch(Exception e){e.printStackTrace();}}}

4、登录测试

LoginTest.java

package net.jdbc.test;import org.junit.Test;import static org.junit.Assert.*;public class LoginTest {@Testpublic void login() {Login.login("' or 1=1-- ","");//SQL注入测试Login.login("Jack","123");//正确账号,错误密码Login.login("Jack","123456");Login.login("Mary","888888");}
}

运行结果:
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/557553.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Java预科篇1-学前

Java预科篇1-学前 1、markdown语法 Markdown是一种纯文本格式的标记语言。通过简单的标记语法,它可以使普通文本内容具有一定的格式。 优点: 因为是纯文本,所以只要支持Markdown的地方都能获得一样的编辑效果,可以让作者摆脱排…

Java预科篇2-环境搭建

Java预科篇2-环境搭建 1、Java历史 1995年 Java问世1996年 Java 1.01999年 Java 1.2发布(JAVA SE\JAVA EE\JAVA ME)… … …2004年 Tiger 发布(JAVA5.0),Java 登录火星2011年 7月由Oracle正式发布Java7.02014年 3月19日,Oracle公…

php中如何配置环境变量,如何配置phpstorm环境变量如何配置phpstorm环境变量

大话西游6664版。根据你的系统平台下载相应的版本后,如果是压缩文件,先解压后双击运行,不是压缩文件,直接双击运行就可以了,运行后出现下面的界面,在下面界面上单击“Next”。跟所有的软件安装包一样&#…

Java基础篇1——变量与数据类型

Java基础篇1——变量与数据类型 1、标识符命名规则 标识符以由大小写字母、数字、下划线(_)和美元符号($)组成,但是不能以数字开头。大小写敏感不能与Java语言的关键字重名不能和Java类库的类名重名不能有空格、、#、、-、/ 等符号长度无限制应该使用有意义的名称…

Error running tomcat8 Address localhost:1099 is already in use 错误解决

错误情况: 在IDEA上运行web项目时报错:Error running (项目名) Address localhost:1099 is already in use 解决方法: 第一步:打开Windows运行,如下图 第二步:按下回车或点击确定…

matlab数据处理 书,matlab数据处理记录

最近在看一篇论文,觉得文章的数据处理效果十分的惊艳!所以想着如何用matlab将类似的效果实现出来,但最近有一个任务,以后慢慢更新吧!先挖一个坑!1. 二维图形绘制二维坐标轴图像涉及的部分包含曲线的颜色、点…

MATLAB接收机位置解算,GPS-receiver GPS软件接收机代码 完整的捕获 解算定位 (可 8个通道) matlab 240万源代码下载- www.pudn.com...

文件名称: GPS-receiver下载 收藏√ [5 4 3 2 1 ]开发工具: matlab文件大小: 148 KB上传时间: 2015-07-02下载次数: 0提 供 者: 金亚强详细说明:GPS软件接收机代码 完整的捕获接受解算定位代码(可接受8个通道)-GPS software receiver codes文件列表(点击判断是…

oracle中$的用法,关于expdp 中query用法小结

今天看到群里有人问到关于在使用expdp导出数据中使用query参数报错的解决方法,自己也出于好奇心瞎折腾了一把,现记录如下1.第一次尝试的时候[oracleDB ~]$ expdp scott/scott tablesemp1 dumpfileemp1.dmp logfileemp1.log queryemp1:"where rownum…

oracle fnd file.log,OracleEBSWIP模块DebugLog收集方法

How to generate WIP debug log files in ONLINE cases? For 11.5.10 and above, the WIP debug log files will be created ifHow to generate WIP debug log files in ONLINE cases?For 11.5.10 and above, the WIP debug log files will be created if1. FND: Debug Log F…

linux怎么重装ssh服务器,Linux平台下安装SSH

什么是SSH?Secure Shell(缩写为SSH),由IETF的网络工作小组(Network Working Group)所制定;SSH为一项创建在应用层和传输层基础上的安全协议,为计算机上的Shell(壳层)提供安全的传输和使用环境。传统的网络服务程序,如r…

Java核心类库篇4——集合

Java核心类库篇4——集合 1、集合的意义 记录单个数据内容时,则声明一个变量记录多个类型相同的数据内容时,声明一个一维数组记录多个类型不同的数据内容时,则创建一个对象记录多个类型相同的对象数据时,创建一个对象数组记录多…

计划任务文件 linux,Linux之任务计划

一、单次任务计划二、周期性任务计划一、单次任务计划命令:batch:系统空闲时自动执行,不常用at:可以使用相对时间、绝对时间或模糊时间,例如相对时间:at now3min,表示3分钟后执行绝对时间&#…

Java核心类库篇8——网络编程

Java核心类库篇8——网络编程 1、七层网络模型 OSI(Open System Interconnect),即开放式系统互联,是ISO(国际标准化组织)组织在1985 年研究的网络互连模型。 当发送数据时,需要对发送的内容按…

linux同花顺乱码,打开同花顺软件全是问号

官方答案:字体库字体乱码【原因分析】:系统字体缺失,损坏。【解决方案】方案一:使用360电脑门诊进行修复1.打开【360安全卫士】—【电脑专家】搜索乱码,然后会弹出如下六个解决方案,根据当前计算机的故障现…

嵌入式linux组件,嵌入式Linux系统的几大组件!

原标题:嵌入式Linux系统的几大组件!本文概述了Linux系统的几大组件,描述了这些组件之间的关系。文章解释了术语,并描述看似很基础的细节。每个Linux系统都有许多主要组件。其中一个组件(引导加载程序)从技术上讲是Linux之外的&…

c语言字符串strchr,Strchr()C语言字符串处理功能

strchr()函数不如strcpy(),strcat(),strcmp(),strupr(),strlwr(),strlen()直观c strchr函数,因此需要代码理解:代码来自C语言开发入门和项目实战书:#include#includeint main(){字符字符串[50];char * str&…

Java数据库篇1——数据库配置

Java数据库篇1——数据库配置 1、数据库 数据库(DataBase) 就是存储和管理数据的仓库本质是一个文件系统, 还是以文件的方式,将数据保存在电脑上 2、数据库的优点 存储方式优点缺点内存速度快不能够永久保存,数据是临时状态的文件数据是可以永久保存的使用IO流操作文件, 不…

c语言里寄存器.1说明意思,C语言复习+寄存器地址名称映射

C语言复习寄存器地址名称映射一.参考资料探索者STM32F4开发板:**《STM32F4开发指南-库函数版本》4.1小节C语言基础知识复习4.6小节 MDK中寄存器地址名称映射**STM32F4xx官方资料:《STM32F4xx中文参考手册》-第7章通用IO二.C语言复习位操作GPIOA->ODR|…

android--多线程,android多线程

线程的基本用法:android多线程编程其实并不比java多线程特殊,基本都是使用相同的语法,比如说,定义一个线程只需要新建一个类继承自Thread,然后重写父类的run()方法,并在里面编写耗时的逻辑即可,…

android的ui怎么做到流畅,android提高UI的流畅度

android提高UI的流畅度Android中所有的界面绘制工作都是在UI线程中进行的,提高UI流畅度的最核心根本在于释放UI线程。即:不在主线程中做耗时的操作。很多人都知道,耗时的操作要放到子线程中去做,比如访问网络,比如读写sd卡。像这类…